denis-19 Aug 7 at 17:51

Минцифры: ФСБ согласовала условия доступа мессенджера Max к инфраструктуре портала «Госуслуги»

2 min

4.3K

Instant Messaging * Information Security * IT Infrastructure * Network hardwareNetwork technologies *

Comments 12

Они там кукухой поехали? OpenID Connect (OIDC) был официально опубликован как окончательная спецификация 26 февраля 2014 года. "выполнено с помощью нового прогрессивного метода — протокола аутентификации OpenID Connect", https://ru.wikipedia.org/wiki/OpenID смотрим про уязвимости и технично курим

Solar_fox Aug 7 at 19:00

Возможно они о нём только недавно узнали) Поэтому и новый)))

itools Aug 7 at 19:17

как вариант )))))

Heggi Aug 7 at 22:58

Году так 2018 делал я сайт для администрации небольшого города с авторизацией через ЕСИА. Исходников и документации тех времен не сохранилось, но насколько я помню, тогда для авторизации использовался SAML. Про OpenID Connect ничего не помню.

UPD. Память мне все-таки изменяет. Порылся в старых библиотеках тех времен, OpenID все-таки был.

d71 Aug 8 at 05:04

Они (МАХ) уже заплатили тестерам ~8 млн руб за найденные дыры, - тут заплатят и пропатчат. Вот проблемы-то...

Nurked Aug 7 at 22:42

Ну вот, Шапито сработал. ФСБ выдвигает мнимые требования к МАХычу. МАХыч их по бумагам выполняет (Хорошо хоть не написали "с использованием передовых процессоров архитектуры х386i, обойдёмся передовым OpenID") Теперь каждый, кто не в курсе, будет знать, что ФСБ всех защищает и никаких закладок в МАХыче не будет.

uuger Aug 8 at 06:46

никаких закладок в МАХыче не будет

ну правильно, "закладка" - это незадокументированный функционал, а в максе всё задокументировано (под грифом ДСП) ещё на стадии проектирования

jnzeax Aug 8 at 07:47

никаких закладок в МАХыче не будет

Это не руткит, если он идёт в комплекте под пользовательским соглашением =)

REPISOT Aug 8 at 02:59

И суток не прошло с прошлой новости. К вам там прямо от них пресс-релизы рассылают по 2 раза в день?

Surrogate Aug 8 at 11:35

ага, устранили все недостатки!

Shaman_RSHU Aug 8 at 10:03

Реализация протокола аутентификации аппаратная

Объясните мне пожалуйста, в смартфоны будет вживляться какой-то аппаратный модуль? Я не исключаю, что между ЕСИА и самими серверами МАКСа сделают канал на ГОСТовом шифровании. А как будет защищаться канал между смартфоном/ПК, где установлен мессенджер и серверами МАКСа (защита аутентификационной информации в стответствии с требованиями регуляторов). Или вся аутентификационная информация граждан будет храниться на серверах МАКСа и это будет аналог облачной ЭЦП в личном кабинете налоговой?

Margutoop Aug 10 at 20:10

Смешно читать подобные новости про Макса. То речь о том, что мессенджер был специально создан для интеграции с Госуслугами. То это опровергали. Теперь, дождались - все согласованно. В прочем ничего нового